Jenkins发布9月安全更新通告，披露多个安全漏洞，腾讯T-Sec Web应用防火墙已支持防御

腾讯云安全

发布于 2020-09-04 11:10:05

9150

尊敬的腾讯云用户，您好！

近日，腾讯安全团队监控到 Jenkins 发布了9月安全通告，里面包含了 14 个CVE漏洞（CVE-2020-2238，CVE-2020-2239，CVE-2020-2240，CVE-2020-2241，CVE-2020-2242，CVE-2020-2243，CVE-2020-2244，CVE-2020-2245，CVE-2020-2246，CVE-2020-2247，CVE-2020-2248，CVE-2020-2249，CVE-2020-2250，CVE-2020-2251），有10个插件受影响，涉及以下插件：

Build Failure Analyzer Plugin
Cadence vManager Plugin
database Plugin
Git Parameter Plugin
JSGames Plugin
Klocwork Analysis Plugin
Parameterized Remote Trigger Plugin
SoapUI Pro Functional Testing Plugin
Team Foundation Server Plugin
Valgrind Plugin

其中以下漏洞定义为高危：

CVE-2020-2248（JSGames Plugin XSS漏洞）
CVE-2020-2247（Klocwork Analysis Plugin中的XXE漏洞）
CVE-2020-2246（Valgrind plugin XSS漏洞）
CVE-2020-2245（Valgrind plugin XXE漏洞）
CVE-2020-2244（Build Failure Analyzer Plugin存在XSS漏洞）
CVE-2020-2243（Cadence vManager Plugin存在存储型XSS漏洞）
CVE-2020-2240（database Plugin CSRF漏洞）
CVE-2020-2238（Git Parameter Plugin 存储型XSS漏洞）

Jenkins是一款基于Java开发的开源项目，用于持续集成和持续交付的自动化中间件，是开发过程中常用的产品，为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。由于有部分漏洞目前尚无修补程序，建议使用采取腾讯T-Sec Web应用防火墙进行防御。

漏洞详情

Git Parameter Plugin存在存储型 XSS漏洞（CVE-2020-2238）

Git Parameter Plugin 0.9.12及更早版本不会在“Build with Parameters”页面上转义。导致存储的跨站点脚本（XSS）漏洞可由具有“Job/Configure”权限的攻击者利用。

Git Parameter Plugin 在 0.9.13 上完成修复工作

Parameterized Remote Trigger Plugin 将密码明文存储在纯文本中（CVE-2020-2239）

Parameterized Remote Trigger Plugin 3.1.3和更早版本将密码明文存储在Jenkins控制器的全局配置文件中

org.jenkinsci.plugins.ParameterizedRemoteTrigger.RemoteBuildConfiguration.xml，作为其配置的一部分。攻击者可以访问Jenkins控制器文件系统来查看此密码。

database Plugin存在CSRF漏洞（CVE-2020-2240）

database Plugin 1.6和更早版本不需要数据库控制台的POST请求，从而导致跨站点请求伪造（CSRF）漏洞。此漏洞使攻击者可以执行任意SQL脚本。

database Plugin CSRF漏洞和越权漏洞CVE-2020-2241（CSRF）,CVE-2020-2242（permission check）

database Plugin 1.6 和更早版本在实现表单验证的方法中不执行权限检查。这使具有对Jenkins的“Overall/Read ”访问权限的攻击者可以使用攻击者指定的用户名和密码连接到攻击者指定的数据库服务器。此外，此表单验证方法不需要POST请求，从而导致跨站点请求伪造（CSRF）漏洞。database Plugin 1.7需要POST请求和受影响的表单验证方法的“Overall/Read ”权限。

Cadence vManager Plugin存在存储型XSS漏洞（CVE-2020-2243）

Cadence vManager Plugin 3.0.4及更早版本不会在工具提示中转义构建说明。这导致存储的跨站点脚本（XSS）漏洞可由具有运行/更新权限的攻击者利用。Cadence vManager Plugin 3.0.5删除了受影响的工具提示。

Build Failure Analyzer Plugin存在XSS漏洞（CVE-2020-2244）

Build Failure Analyzer Plugin 1.27.0及更早版本不会在表单验证响应中转义匹配的文本。这会导致跨站点脚本（XSS）漏洞，攻击者可以利用此漏洞。Build Failure Analyzer Plugin 1.27.1会在受影响的表单验证响应中转义匹配的文本。

Valgrind Plugin存在XXE漏洞（CVE-2020-2245）

Valgrind Plugin 0.28和更早版本没有配置其XML解析器来防止XML外部实体（XXE）攻击。这使用户能够控制 Valgrind Plugin 解析器的输入文件，使Jenkins解析使用外部实体从Jenkins控制器或服务器端请求伪造中提取机密的制作好的文件。截至本公告发布之时，尚无修复程序。

Valgrind Plugin中存储的XSS漏洞（CVE-2020-2246）

Valgrind Plugin 0.28和更早版本不会在Valgrind XML报表中转义内容。这导致存储的跨站点脚本（XSS）漏洞可由能够控制Valgrind XML报告内容的攻击者利用。截至本公告发布之时，尚无修复程序。

Klocwork Analysis Plugin中的XXE漏洞（CVE-2020-2247）

Klocwork Analysis Plugin 2020.2.1和更早版本没有配置其XML解析器来防止XML外部实体（XXE）攻击。这使用户能够控制Klocwork插件解析器的输入文件，使Jenkins解析使用外部实体从Jenkins控制器或服务器端请求伪造中提取机密的制作好的文件。截至本公告发布之时，尚无修复程序。

JSGames Plugin存在反射型的XSS漏洞（CVE-2020-2248）

JSGames Plugin 0.2及更早版本将URL的一部分作为代码进行评估。这会导致反映出跨站点脚本（XSS）漏洞。截至本公告发布之时，尚无修复程序。

Team Foundation Server Plugin以明文格式存储凭据（CVE-2020-2249）

‍‍‍‍‍Team Foundation Server Plugin 5.157.1和更早版本将Webhook机密未加密地存储在Jenkins控制器的全局配置文件中；hudson.plugins.tfs.TeamPluginGlobalConfig.xml作为其配置的一部分。攻击者可以访问Jenkins控制器文件系统来查看此凭据。

SoapUI Pro Functional Testing Plugin使用明文存储密码（CVE-2020-2250）

SoapUI Pro Functional Testing Plugin 1.3和更早版本将未加密的项目密码存储在job config.xml 文件中，作为其配置的一部分。具有扩展读取权限或访问Jenkins控制器文件系统的攻击者可以查看这些项目密码。一旦再次保存受影响的job配置，SoapUI Pro Functional Testing Plugin 1.4将存储加密的项目密码。

SoapUI Pro Functional Testing Plugin使用明文传输密码（CVE-2020-2251）

SoapUI Pro功能测试插件将项目密码存储在Jenkins控制器上的job文件中config.xml作为其配置的一部分。这仅会影响2.236（包括2.235.x LTS）之前的Jenkins，因为Jenkins 2.236引入了安全性强化功能，可以透明地加密和解密用于Jenkins密码表单字段的数据。截至本公告发布之时，尚无修复程序。

漏洞风险等级